skip to Main Content

NAIH határozat: Adatkezelési tájékoztató naprakészen tartása

Az érintettek tájékoztatása a GDPR átláthatósági kritáriumának az egyik legfontosabb összetevője. A GDPR 12. cikke határozza meg pontosan, hogy a tájékoztatást milyen formában kell nyújtani, míg a 13-14. cikk azt, hogy az adatkezelési tájékoztató pontosan milyen információkat kell, hogy tartalmazzon.

Az adatkezelési tájékoztatóban tehát kizárólag az Adatkezelő gyakorlatban ténylegesen megvalósuló adatkezelését kell tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva rögzíteni, nem szabad az adatkezelőnek valótlan információkat feltüntetnie. Amennyiben az adatkezelő valótlan, hiányos vagy ellentmondásos tájékoztatást ad az érintetteknek, úgy azok a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (a továbbiakban: Hatóság vagy NAIH) vagy a bírósághoz fordulhatnak.

A Hatóság 2020. augusztus elején közzétett NAIH/2020/2000/5. számú határozatából kiolvasható, hogy komolyan veszik annak vizsgálatát, hogy az adatkezelési tájékoztatóban meghatározott adatkezelés a valóságban valóban a leírtaknak megfelelően valósul-e meg, illetve, hogy a meghatározott jogalap is megfelelően kerül-e megjelölésre. Az is egyértelműen látszik a Határozatból, hogy a Hatóság nem elsősorban bírság kiszabásával kívánja elérni, hogy az adatkezelők megfeleljenek a vonatkozó jogszabályoknak, hanem aktív támogatásával kívánja rábírni őket az adatkezelési gyakorlatuk változtatására és az adatkezelési tájékoztató Rendeletnek megfelelő módosítására.

A konkrét ügyben is csak arra az esetre helyezett kilátásba bírság kiszabását vagy újabb adatvédelmi hatósági eljárás indítását, amennyiben az adatkezelő a határozatban részletesen összefoglalt hiányosságait nem javítaná ki és adatkezelési műveleteit nem hozná összhangba a Rendelet rendelkezéseivel.

A Hatósági határozat alapjául szolgáló ügyben egy magánszemély által üzemeltetett honlapon a regisztrált felhasználók naponta meghatározott számú sms-t tudtak küldeni abban az esetben, ha megfelelő mennyiségű kredit áll a rendelkezésükre. Ahhoz, hogy a felhasználók a honlap ezen szolgáltatását igénybe tudják venni, regisztrálniuk kell, melynek során meg kell adniuk az alábbi adatokat: név, email cím, IP cím, telefonszám és jelszó.

A Hatóság az adatkezelési tájékoztatóban az alábbi valótlan és félrevezető információkat gyűjtötte össze a konkrét ügyben és kérte az adatkezelési műveleteket összhangba hozni a Rendelet rendelkezéseivel:

1.
A Hatóság megállapításai szerint valótlan és félrevezető az adatkezelési tájékoztató alábbi pontjai:

– Hírlevélküldésre vonatkozó rendelkezések – ugyanis a valóságban nem kerül sor hírlevélküldésre, ezért Adatkezelő nem folytat hírlevélküldési célú adatkezelést;
– Adatkezelő a törlési kérelmek teljesítését követően egyes személyes adatokat megtart és továbbít harmadik személyek részére – ugyanis a törlési kérelmek teljesítését követően Adatkezelő nem tart meg egyes személyes adatokat és azokat harmadik személyek részére sem továbbít sem hirdetéssel, sem mással összefüggésben;
– Ún. adatvédelmi nyilvántartásra vonatkozó információ, mely arról tájékoztat, hogy az adatkezelés bejelentésre kerül az adatvédelmi nyilvántartásba – ugyanis 2018. május 25-től az Adatkezelő köteles nyilvántartást vezetni az adatkezelési tevékenységekről a Rendelet 30 cikke alapján, azt nem szükséges bejelenteni az adatvédelmi nyilvántartásba, mivel ilyent a GDPR alkalmazása óta nem is vezet a Hatóság.

2.
A Hatóság álláspontja szerint továbbá az adatkezelési tájékoztatóban az adatkezelés jogalapja sincs egyértelműen megjelölve, az érintett hozzájárulása nem lehet érvényes jogalap (Rendelet 6. cikk (1) bekezdés a) pont), ugyanis az érintett hozzájárulásának hiánya vagy annak visszavonása az SMS-küldési szolgáltatás nyújtását lehetetlenné tenné, az önkéntesség hiányzik, mivel az adatkezelés valójában a szolgáltatás nyújtásának feltétele.

A Hatóság meglátása szerint inkább a szerződés teljesítése jogalap (Rendelet 6. cikk (1) bekezdés b) pont) jöhetne szóba, hiszen a mobiltelefonszám kezelése nélkül technikailag lehetetlen a szolgáltatásnyújtás, az email cím és jelszó azonosítási célú kezelése pedig szükségszerű a szolgáltatásra való jogosultság megállapításához.

3.
Hiányos az érintetti jogokkal kapcsolatos tájékoztatás is, ugyanis nem állapítható meg a törlési jog pontos gyakorlásának módja, különösen a fiókon belüli törlési lehetőség leírása hiányzik az adatkezelési tájékoztatóból. A gyakorlatban ugyanis az érintett a törlés, hozzáférés jogát személyesen a fiók-beállításokban vagy az Adatkezelőnek címzett emailben tudja gyakorolni.

4.
Ugyancsak hiányzik az adatkezelési tájékoztatóból az érintett jogorvoslati jogairól szóló tájékoztatás is, ugyanis nem tartalmazta az érintettek azon jogát, hogy jogaik érvényesítése érdekében a Hatósághoz vagy a bírósághoz fordulhatnak, továbbá hiányzott az adatkezelési tájékoztatóból a Hatóság elérhetősége is.

Amennyiben Adatkezelő adatkezelési műveleteit összhangba hozza a Rendelet rendelkezéseivel és a Hatóság megállapításait megfogadva módosítja az adatkezelési gyakorlatát és javítja az adatkezelési tájékoztatóját, úgy elkerülheti az újabb adatvédelmi hatósági eljárást és a bírság kiszabását is.

Dr. Fodor Gabriella

Back To Top